Születőben az RSA új biztonsági specifikációja, az OTP

[eWeek/HWSW] Az RSA annak érdekében, hogy az OTP (one-time password, egyszer használható jelszó) technológiája minél előbb elterjedhessen a vállalati felhasználók körében, hat új nyílt specifikációt tesz közzé, hogy azokat nyilvános konzultáció keretében vitassák meg az iparág szereplői.

Azonosítás mindig más jelszóval

A vállalat az RSA Security 2005 konferencián számolt be arról, hogy az OTP specifikációit mind az IETF (Internet Engineering Task Force), mind az OASIS (Organization for the Advancemenet of Structured Information Standards) számára elérhetővé fogja tenni.

Jason Lewis, az RSA Security alelnöke szerint az OTP technológiákra építkező nemzetközileg elfogadott szabványok képezik azt az ugródeszkát, amivel a lényegesen nagyobb biztonságot, és egyben egyszerűséget is biztosító azonosítási rendszer elterjedhet a nagyvállalatok körében is. "A specifikációk az egyszer használható jelszavak létrehozásának teljes életciklusát lefedik. Szó esik bennük a jelszó útjáról a visszanyerés, szállítás és a validáció folyamatain keresztül" -- ismertette Lewis.

A vállalati szabványok meglétének hiánya nagyban csökkentette az OTP ipari felhasználását. Általában az OTP technológia segítségével olyan jelszó-sorozatokat gyártanak le, amivel egy adott rendszerbe történő belépés valósítható meg, de minden egyes jelszó csak egyszeri alkalommal használható. Biztonsági szakemberek véleménye szerint ez a megoldás teljesen megszünteti az ismétlésen alapuló támadások lehetőségét.

A nehézség az összekapcsolt rendszerek kezelésében rejlik

Az első öt specifikáció már felkerült az internetre, és Lewis elmondása szerint a most következő időszakban levelezőlistákon és a teljes iparágat átfogó megbeszéléseken alakítják tovább a szabványok végleges formáját. A kezdeményezést több informatikai nagyvállalat is támogatja, így például a Microsoft, az Adobe, a Check Point, a Juniper és a Cisco.

Lewis elmondta, hogy az új specifikációk az RSA Security úttörő megoldásaira épülnek, amik már mind bizonyították hasznukat nagyvállalati alkalmazásuk kapcsán is. Ide tartozik a PKCS (Public Key Cryptography Standards), SAML (Security Assertion Markup Language) és a Web Services/SOAP Message Security.

Korábban az OTP jelszót használó megoldások kizárólag végfelhasználói eszközökre korlátozódtak, amik nem kapcsolódtak hálózathoz, vagy akár csak egy klienshez, hanem önmagukban gyártották le az éppen aktuális, teljesen új jelszót. Lewis beszámolója szerint ugyan a megoldást sokan felhasználták, és használják még ma is, a nagyvállalati átvételhez szükség volt arra, hogy mindez összekötött rendszereken is működhessen.